0 |
Ученые из Research Center for Advanced Security (CASED) в Дармштадте открыли основные уязвимости в многочисленных виртуальных машинах, опубликованных заказчиками облачных вычислений на Amazon. Среди 1100 общедоступных образов машин (Amazon Machine Images, AMI), которые используются для предоставления облачных сервисов, около 30% являются уязвимыми, позволяя атакующим манипулировать или компрометировать веб-сервисы или виртуальные инфраструктуры.
Основной причиной этого является небрежное или несущее ошибки управление и развертывание AMI. Ученые из CASED разработали сканер уязвимостей для виртуальных машин, которые создают заказчики для работы на инфраструктуре Amazon. В то время как эксперты в области безопасности занимались в основном аспектами безопасности базовой инфраструктуры облаков и провайдеров, на практике оказалось, что угрозы, вызванные заказчиками при конструировании сервисов, все еще недооценивались или игнорировались. Насколько опасными являются результаты ошибочного поведения заказчиков показал недавний анализ, выполненный исследовательской группой, возглавляемой проф. Ахмад-Реза Садегхи (Ahmad-Reza Sadeghi) из CASED.
Ученые исследовали сервисы, опубликованные заказчиками Amazon Web Services (AWS). Хотя AWS обеспечивает своих заказчиков очень детальными рекомендациями относительно безопасности на своих веб-страницах, ученые обнаружили, что по крайней мере одна треть рассмотренных машин имела некорректную конфигурацию. Команда исследователей могла извлечь такие критические данные, как пароли, ключи шифрования и сертификаты. Взломщики могут использовать такую информацию для управления виртуальными инфраструктурами, манипулирования веб-сервисами или для обхода механизмов безопасности, таких как Secure Shell (SSH).
«Очевидно, что проблема заключается в невнимательности заказчиков, а не в веб-сервисах Amazon. Мы верим, что заказчики других провайдеров облаков подвергают опасности себя и других пользователей, игнорируя или недооценивая рекомендации по безопасности», - подчеркнул проф. Садегхи.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |
проф. Садегхи убил сентенцией: один видете ли тупой пользователь может подвергнуть опасности других непричастных.
А на кой же тогда вообще объявлять о реализации технологии, один из основных атрибутов которой - инкапсуляция пользователей и инфраструктуры?
Пользователи такие тупые, мануалы не читают и подвергают. А мы такие хорошие: всесто того, чтобы мультеплексировать песочницы, пишем подробыне инструкции.